Microlab Hard S.L.

En Microlab recibimos con frecuencia preguntas de empresas y profesionales que dudan sobre si realmente están obligados a cumplir con la Ley de Protección de Datos. Algunos piensan que solo afecta a las grandes compañías o a los negocios que manejan grandes bases de datos, mientras que otros creen que basta con instalar un antivirus o con avisar en la web de que se usan cookies.

La realidad es muy diferente: todas las personas y entidades que tratan datos personales están obligadas a cumplir con la normativa vigente en España, independientemente de su tamaño, sector o número de clientes. No importa si se trata de un despacho de abogados, una tienda online, un gimnasio, una peluquería, un colegio o un autónomo que ofrece servicios de formación.

El marco legal lo constituyen principalmente el Reglamento General de Protección de Datos (RGPD), aplicable en toda la Unión Europea, y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el RGPD a la realidad española.

¿A quién afecta la normativa?

La Ley de Protección de Datos afecta a cualquier persona física o jurídica que realice un tratamiento de datos personales.

Por “datos personales” entendemos cualquier información que permita identificar a una persona, como, por ejemplo:

• Nombre y apellidos.
• DNI o NIE.
• Dirección postal o correo electrónico.
• Número de teléfono.
• Datos bancarios.
• Imágenes o grabaciones de voz.
• Direcciones IP o identificadores online.

En consecuencia, la obligación de cumplir con la normativa recae sobre:

• Empresas grandes y pequeñas: desde una multinacional hasta una pyme familiar.
• Profesionales autónomos: abogados, asesores, diseñadores, formadores, entrenadores personales, etc.
• Entidades sin ánimo de lucro: asociaciones culturales, ONGs, fundaciones.
• Administraciones públicas: ayuntamientos, universidades, colegios profesionales.

Incluso si únicamente gestionas una pequeña base de clientes o un listado de suscriptores en tu página web, estás tratando datos personales y, por tanto, debes cumplir con la ley.

¿Qué implica cumplir con la Ley de Protección de Datos?

Cumplir con la normativa no es solo un trámite, sino un conjunto de obligaciones que garantizan la privacidad y los derechos de las personas. Entre las más relevantes se encuentran:

1. Principio de transparencia e información

Los interesados deben saber con claridad qué datos se recopilan, con qué finalidad, quién los gestiona, si se cederán a terceros y durante cuánto tiempo se conservarán.

Por ejemplo, en una tienda online debe informarse al cliente de que sus datos se utilizan para tramitar el pedido, emitir la factura y, en su caso, enviarle comunicaciones comerciales si lo autoriza.

2. Consentimiento válido

El consentimiento para tratar datos debe ser libre, informado, específico e inequívoco. Desaparecen los consentimientos tácitos (como casillas premarcadas en formularios).

3. Seguridad de los datos

Las empresas y profesionales deben aplicar medidas técnicas y organizativas adecuadas para garantizar la protección de datos contra accesos no autorizados, pérdidas o filtraciones. Esto puede incluir:

• Contraseñas robustas y cambiadas periódicamente.
• Copias de seguridad.
• Cifrado de la información sensible.
• Control de accesos dentro de la empresa.

4. Contratos con proveedores

Si un tercero accede a los datos (por ejemplo, una gestoría que tramita nóminas o una empresa de hosting que almacena la web), es obligatorio firmar un contrato de encargo de tratamiento que regule la relación.

5. Registro de actividades de tratamiento

Las organizaciones deben documentar qué datos manejan, con qué fines, cómo se almacenan y durante cuánto tiempo. Este registro sustituye a la antigua obligación de inscribir ficheros en la AEPD.

6. Derechos de los interesados

Las personas tienen derecho a:

• Acceder a sus datos.
• Solicitar su rectificación o supresión.
• Limitar el tratamiento u oponerse al mismo.
• Solicitar la portabilidad de sus datos a otro proveedor.

Las empresas deben facilitar canales para atender estas solicitudes y responder en el plazo de un mes.

¿Qué ocurre si no se cumple con la normativa?

El incumplimiento puede tener consecuencias muy serias:

1. Sanciones económicas: la Agencia Española de Protección de Datos (AEPD) puede imponer multas que, en función de la gravedad, alcanzan hasta 20 millones de euros o el 4 % de la facturación anual de la empresa. Aunque en la práctica, en pymes y autónomos suelen ser sanciones de miles de euros, siguen siendo cantidades muy relevantes.
2. Daños reputacionales: una brecha de seguridad o una sanción pública puede afectar gravemente a la imagen de una empresa.
3. Responsabilidades legales: en algunos casos, el mal uso de los datos puede dar lugar a reclamaciones civiles o incluso penales.

Ejemplo real: la AEPD ha sancionado a academias que enviaban comunicaciones comerciales a alumnos sin su consentimiento, o a comunidades de vecinos que publicaban listas de morosos en tablones accesibles para todos los residentes.

En la práctica

Imaginemos tres situaciones distintas:

• Un comercio local: aunque tenga solo una base de datos de 200 personas para mandarles ofertas por WhatsApp, necesita el consentimiento expreso de esas personas y un sistema para retirar ese consentimiento en cualquier momento.
• Un despacho de abogados: maneja datos especialmente sensibles de sus clientes y debe asegurarse de que todos los documentos estén protegidos, tanto en papel como en formato digital.
• Una academia de inglés: al gestionar matrículas de alumnos menores de edad, debe extremar las precauciones e informar del tratamiento de los daos a los padres o tutores.

En todos los casos, la obligación de cumplir con la normativa es incuestionable.

Cumplir como oportunidad

Aunque a veces se percibe como una carga, el cumplimiento de la Ley de Protección de Datos también puede convertirse en una ventaja competitiva. Una empresa que gestiona la información de forma transparente y segura transmite confianza a sus clientes y demuestra profesionalidad.

Por eso, más allá de evitar sanciones, es importante entender que la protección de datos es un valor añadido en la relación con clientes, proveedores y empleados.

En definitiva, sí: es obligatorio cumplir con la Ley de Protección de Datos en España. No importa el tamaño de tu empresa ni el sector en el que trabajes. Lo que está en juego es la privacidad, la seguridad y la confianza de las personas.

En Microlab podemos ayudarte a analizar la situación de tu negocio, implementar las medidas necesarias y garantizar que tu actividad cumpla con la normativa, de forma práctica y adaptada a tus necesidades. Contacta con nosotros sin compromiso.

La gestión de una comunidad de propietarios conlleva necesariamente el tratamiento de datos personales de sus comuneros. Entre los documentos que generan mayor debate desde la perspectiva de la protección de datos se encuentra el acta de la junta de propietarios, en la que se reflejan los acuerdos adoptados, la relación de asistentes y los propietarios representados. La cuestión se plantea cuando alguno de los comuneros solicita anonimizar o limitar la identificación de los asistentes, invocando su derecho a la privacidad.

Sin embargo, tanto la Ley de Propiedad Horizontal (LPH) como la normativa europea de protección de datos (RGPD) establecen que la inclusión de los nombres de los propietarios asistentes es un tratamiento lícito, aunque deben evitarse excesos que comprometan la confidencialidad de los datos.

Fundamento legal del tratamiento

El artículo 6.1.c del Reglamento General de Protección de Datos (RGPD) determina que el tratamiento de datos personales será lícito cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento. En este caso, dicha obligación deriva del artículo 19 de la Ley de Propiedad Horizontal, que exige que las actas de las juntas incluyan:

“La relación de todos los asistentes y sus respectivos cargos, así como de los propietarios representados, con indicación, en todo caso, de sus cuotas de participación.”

Por tanto, la base legitimadora del tratamiento no se encuentra en el consentimiento del interesado, sino en el cumplimiento de una obligación legal. Esto excluye la posibilidad de ejercer el derecho de oposición del artículo 21 del RGPD, aplicable solo a tratamientos basados en el interés legítimo o en el cumplimiento de una misión de interés público, pero no cuando la base jurídica es una obligación legal.

En consecuencia, el tratamiento de los datos personales (nombre y apellidos del propietario, piso o local y cuota de participación) en el acta de la junta es lícito y acorde a la ley.

Alcance del tratamiento: qué datos pueden incluirse

La Agencia Española de Protección de Datos (AEPD), en su Guía para Administradores de Fincas, recuerda que la información que se refleje en las actas debe limitarse a la estrictamente necesaria para cumplir la finalidad legal de identificación y transparencia en la toma de decisiones. Así, resulta adecuado incluir:

• Nombre y apellidos del propietario o de su representante.
• Vivienda o local que representa.
• Cuota de participación, en su caso.

En cambio, no sería conforme al principio de minimización (art. 5.1.c RGPD) incluir datos ajenos a la finalidad del acta, como números de teléfono, direcciones personales, correos electrónicos o números de cuenta bancaria. La inclusión de estos datos constituiría un tratamiento excesivo y contrario a la normativa.

Acceso a las actas y deber de confidencialidad

Otro aspecto fundamental es la difusión de las actas. La AEPD señala que las actas deben ponerse a disposición únicamente de los propietarios, en cumplimiento de lo dispuesto en la Ley de Propiedad Horizontal. Cualquier comunicación o publicación de las actas fuera del ámbito de la comunidad (por ejemplo, en redes sociales o tablones accesibles a terceros) supondría una cesión ilícita de datos personales. La comunidad, como responsable del tratamiento, y el administrador de fincas, en su condición de encargado del tratamiento, deben garantizar que solo las personas legitimadas puedan acceder a la documentación, aplicando medidas de seguridad adecuadas según las recomendaciones de la Agencia Española de Protección de Datos.

Derechos de los interesados en el ámbito de la comunidad

Los propietarios conservan sus derechos de acceso, rectificación, supresión y limitación en relación con sus propios datos, pero deben ejercerse dentro de los límites derivados de la normativa de propiedad horizontal. Por ejemplo, no procede solicitar la supresión del nombre del acta, ya que constituye un dato necesario para cumplir la obligación legal del artículo 19 LPH.

En cambio, si se detecta un error en la identificación del propietario o en la vivienda representada, sí puede ejercerse el derecho de rectificación. Asimismo, la comunidad debe facilitar información sobre el tratamiento de datos a los comuneros, mediante cláusulas informativas incluidas en las convocatorias, actas o comunicaciones internas.
Para más detalles, puede consultarse la Guía de derechos de los interesados publicada por la AEPD.

Conclusión jurídica

La inclusión de los nombres y datos identificativos de los asistentes en las actas de las juntas de propietarios no vulnera la normativa de protección de datos, sino que constituye una obligación legal derivada de la LPH. No obstante, deben observarse los principios de minimización, confidencialidad y limitación de la finalidad, evitando incluir información innecesaria o difundir las actas fuera del ámbito de la comunidad.

La adecuada gestión de estos datos no solo garantiza el cumplimiento normativo, sino que refuerza la confianza y la transparencia entre los vecinos, objetivos esenciales en la convivencia comunitaria.

No pongas en riesgo la seguridad y privacidad de tu comunidad. Contáctanos y te ayudaremos a gestionar los datos de tus propietarios de forma legal y segura.

Hoy en día, WhatsApp se ha convertido en la principal herramienta de comunicación diaria no solo entre particulares, sino también entre empresas y clientes. La inmediatez, cercanía y facilidad de uso lo han posicionado como un canal atractivo para enviar información sobre productos, servicios o incluso resolver incidencias. Sin embargo, su utilización con fines comerciales está sujeta a una regulación específica que las empresas deben respetar para no incurrir en sanciones y, sobre todo, para mantener la confianza de sus clientes.

A continuación, desde el departamento legal de Microlab repasamos el marco legal aplicable y ofrecemos algunas recomendaciones prácticas para un uso responsable y seguro de WhatsApp en el ámbito empresarial.

Marco normativo: prohibición de las comunicaciones comerciales

El envío de comunicaciones comerciales electrónicas se regula en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). Su artículo 21 establece que el envío de comunicaciones comerciales por medios electrónicos, entre ellos WhatsApp, requiere contar con el consentimiento previo del destinatario.

Sin embargo, la norma admite una excepción: si la empresa ya mantiene una relación contractual con el cliente, puede enviarle comunicaciones sobre productos o servicios similares a los contratados, siempre que en el momento de la recogida de datos se haya informado al interesado de esta posibilidad y se le ofrezca la posibilidad de oponerse.

En definitiva, una organización puede enviar comunicaciones comerciales por WhatsApp u otra vía electrónica, como sms o correo electrónico, siempre que cuente con el consentimiento del destinatario o haya mantenido una relación contractual previa con este.

La importancia de la protección de datos

Además de la LSSI, el Reglamento General de Protección de Datos (RGPD) y Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) también son de aplicación.

En particular, la empresa debe cumplir los siguientes requisitos para un correcto cumplimiento de la norma:

• Los números de teléfono deben haberse obtenido de forma lícita y transparente.
• Debe informarse claramente al cliente de que WhatsApp será un canal de comunicación posible.
• La finalidad del tratamiento de datos debe estar delimitada: solo se podrán enviar comunicaciones comerciales sobre productos o servicios de la propia empresa, no de terceros.

El uso indebido de los datos o la falta de información adecuada al cliente puede dar lugar a sanciones económicas y a un importante daño reputacional.

Recomendaciones prácticas para el uso de WhatsApp con los clientes

A la hora de utilizar WhatsApp como medio de comunicación empresarial, conviene aplicar una serie de buenas prácticas que garanticen el cumplimiento de la normativa y la protección de los clientes:

1. Utilizar WhatsApp Business

Esta versión, diseñada específicamente para empresas, ofrece herramientas profesionales como mensajes automáticos, etiquetas para organizar conversaciones y mayor control de las interacciones. Además, regula contractualmente el uso profesional de esta herramienta, conforme a los requisitos del art. 28 del RGPD.

2. Informar al cliente desde el inicio

En el momento de recopilar los datos, se debe indicar que WhatsApp será utilizado como canal de comunicación. Conviene especificar si se usará solo para cuestiones contractuales (avisos, recordatorios, facturación, etc.) o también para comunicaciones comerciales.

3. Respetar la legitimidad de las comunicaciones contractuales

Los mensajes relacionados directamente con la prestación del servicio o el producto adquirido (confirmaciones, cambios de cita, incidencias) son legítimos siempre que el cliente haya sido informado previamente.

4. No crear grupos sin consentimiento

Formar grupos de WhatsApp con clientes sin su autorización supone compartir sus números con otros miembros, lo cual constituye una cesión de datos no autorizada. Si se desea crear un grupo, es imprescindible recabar previamente el consentimiento expreso de todos los participantes.

5. Evitar el envío de información sensible

WhatsApp no es el canal adecuado para transmitir datos especialmente protegidos (como datos relacionados con la salud). Estos solo deberían tratarse por medios seguros y con garantías adicionales.

Un canal útil, pero con reglas estrictas

WhatsApp puede ser una herramienta eficaz para mejorar la atención al cliente y reforzar la relación con ellos. No obstante, su uso debe enmarcarse dentro del respeto del artículo 21 de la LSSI, cumplir con la normativa de protección de datos y limitar las comunicaciones a los productos o servicios de la propia empresa. Un correcto cumplimiento de las prácticas descritas contribuirá, además, a generar un ambiente de confianza con los clientes y evitar sanciones.

No pongas en riesgo la confianza de tus clientes usando WhatsApp sin cumplir la normativa. Contáctanos y te ayudaremos a comunicarte de forma legal y segura.